微軟緊急修補IE 零時差攻擊漏洞

微軟上周五（9/21）緊急發佈IE修補程式，以便防堵包含上周發現的零時差攻擊弱點在內的5項漏洞。

微軟最新發佈的「例外」(out-of-band) 安全更新是針對IE漏洞的修補程式MS12-063，其中有一項漏洞為已公開的安全弱點，可能導致新的零時差漏洞攻擊，在IE 7、IE 8，及IE 9等瀏覽器發現，受影響的作業系統平台更包括Windows XP、Vista、7等版本。

微軟表示，最嚴重的漏洞可能使不知情的IE用戶存取被植入惡意程式碼的網頁而進入PC，導致駭客利用執行遠端程式碼攻擊。

MS12-063是微軟為了修補一周以前安全人員發現的零時差漏洞。資安公司Rapid7的漏洞研究人員sinn3r日前在Metasploit 部落格上指出，包括IE 7、IE 8，及IE 9等瀏覽器都發現了新的漏洞，受影響的作業系統平台包括了Windows XP、Vista、7等版本。唯一倖免的只有將於10月26日上市的Windows 8及IE 10。

微軟上周一也隨後發布2757760安全通告，承認已有針對IE的零時差攻擊出現，微軟並公布臨時的解決方法。微軟表示，包括IE 9及較舊的一些版本的使用者，若瀏覽含有惡意程式的網站就會受到影響。2757760安全通告可協助使用者解決該問題。

其他四個非零時漏洞中，有3個存在於IE9，第4個只存在IE7、IE8。所有5項弱點都可由MS12-063解決。微軟安全更新評為「重要」(critical) ，即該公司評定標準的最高等級。微軟並表示，已經使用Fixit的使用者，在上周五修補弱點後也不用把Fixit移除。（編譯/林妍溱）